J'ai vu passer qu'un redémarrage du service idmapd
corrige parfois des trucs, on sait jamais...
> Date: Thu, 31 Jul 2014 10:15:46 +0200
> From:
jonathan.tremesaygues@menta.fr
> To:
frsag@ww7.be
> CC:
frsag@frsag.org
> Subject: Re: [FRsAG] NFSv4 et ACL : problèmes
>
> Bonjour,
>
> Selinux est désactivé sur sl65 (c'est une VM
destinée à subir les
> expériences
> douloureuses nécessaire à mon apprentissage
de sysadmin, osef de la
> sécurité),
> donc je ne pense pas qu'il soit en cause.
> Sur les "vrais" machines où selinux est
activé, j'ai rien vu de
> particulier dans les logs.
>
> Cordialement,
> Jonathan
>
>
> On 07/31/2014 10:06 AM, neo futur wrote:
> > vous avez regarde les logs kernel ? y
aurai pas un selinux ou autre
> > rbac qui foutrai sa zone ?
> >
> > 2014-07-31 3:56 GMT-04:00 Jean Milot
<milot.jean@gmail.com>:
> >> Bonjour,
> >>
> >> As tu essayé de forcer la version
sur le serveur nfs?
> >>
> >> Cordialement
> >>
> >> Jean
> >>
> >> Le 31 juil. 2014 09:52, "Jonathan
Tremesaygues"
> >>
<jonathan.tremesaygues@menta.fr>
a écrit :
> >>
> >>> Bonjour,
> >>>
> >>> Ne marche pas non plus en NFSv3
:-/
> >>>
> >>>
> >>> Montage de l'export de test en
nfs3 :
> >>> [root@sl65 mnt]# mount -o
vers=3,acl whale:/share/MD0_DATA/test whale/
> >>> [root@sl65 mnt]# nfsstat -m
> >>> /mnt/whale from
whale:/share/MD0_DATA/test
> >>> Flags:
> >>>
rw,relatime,vers=3,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,mountaddr=192.168.10.150,mountvers=3,mountport=58340,mountproto=udp,local_lock=none,addr=192.168.10.150
> >>>
> >>>
> >>> Vérification de la présence des
ACL :
> >>> [root@sl65 mnt]# ll
> >>> total 8
> >>> drwxrwx---+ 3 root root 4096 Jul
31 09:14 whale
> >>> [root@sl65 mnt]# getfacl whale
> >>> # file: whale
> >>> # owner: root
> >>> # group: root
> >>> user::rwx
> >>> user:lrouge:rwx
> >>> user:jtremesay:rwx
> >>> user:nfsnobody:---
> >>> group::rwx
> >>> mask::rwx
> >>> other::rwx
> >>> default:user::rwx
> >>> default:user:lrouge:rwx
> >>> default:user:jtremesay:rwx
> >>> default:user:nfsnobody:---
> >>> default:group::rwx
> >>> default:mask::rwx
> >>> default:other::---
> >>>
> >>>
> >>> Tentative d'accès au dossier :
> >>> [jtremesay@sl65 mnt]$ ls whale/
> >>> ls: cannot open directory
whale/: Permission denied
> >>>
> >>>
> >>> Cordialement
> >>> Jonathan
> >>>
> >>>
> >>>
> >>>
> >>> On 07/30/2014 06:15 PM, Jean
Milot wrote:
> >>>
> >>> Bonjour,
> >>>
> >>> Moi, j'ai abandonné NFSv4. Je
force l'utilisation de la version 3 pour
> >>> utiliser les ACLs.
> >>>
> >>> Cordialement,
> >>>
> >>> Jean
> >>>
> >>>
> >>>
> >>> Le 30 juillet 2014 16:40,
Jonathan Tremesaygues
> >>>
<jonathan.tremesaygues@menta.fr>
a écrit :
> >>>> Bonjour la liste,
> >>>>
> >>>> Nous essayons désespérément
de faire fonctionner les ACL sur du partage
> >>>> réseau
> >>>> NSFv4. Le serveur de partage
est un NAS QNAP TS-879-PRO tournant sous un
> >>>> linux
> >>>> custom et les clients sont
essentiellement des Scientific Linux
> >>>> (RHEL-like)
> >>>> 6.5. Les comptes des
utilisateurs sont stockés dans un LDAP.
> >>>>
> >>>> ########################
> >>>> # Configuration du serveur
(whale) : #
> >>>> ########################
> >>>> [~] # cat /etc/idmapd.conf
> >>>> [General]
> >>>> Verbosity = 9
> >>>> Pipefs-Directory =
/var/lib/nfs/rpc_pipefs
> >>>> Domain = menta.fr
> >>>>
> >>>> [Mapping]
> >>>> Nobody-User = guest
> >>>> Nobody-Group = guest
> >>>>
> >>>> [Translation]
> >>>> Method = nsswitch
> >>>>
> >>>>
> >>>> [~] # cat /etc/exports
> >>>> "/share/NFS"
> >>>>
*(no_subtree_check,no_root_squash,insecure,fsid=0,subtree_check,acl,sec=sys)
> >>>> "/share/NFS/shared"
> >>>>
192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)
> >>>> "/share/NFS/test"
> >>>>
192.168.10.0/255.255.254.0(rw,nohide,async,no_root_squash,insecure,subtree_check,acl,sec=sys)
> >>>>
> >>>>
> >>>> [~] # cat
/sys/module/nfsd/parameters/nfs4_disable_idmapping
> >>>> N
> >>>>
> >>>>
> >>>> [~] # ll /share/NFS/
> >>>> drwxr-xr-x 19 root root 1.0k
Jul 29 10:16 ./
> >>>> drwxr-xr-x 32 root root 1.0k
Jul 29 14:34 ../
> >>>> drwxrwxrwx 12 root shared
4.0k Jul 17 15:00 shared/
> >>>> drwxrwx--- 2 root root 4.0k
Jul 22 15:44 test/
> >>>>
> >>>>
> >>>> [~] # getfacl
/share/NFS/test
> >>>> getfacl: Removing leading
'/' from absolute path names
> >>>> # file: share/NFS/test
> >>>> # owner: root
> >>>> # group: root
> >>>> user::rwx
> >>>> user:jtremesay:rwx
> >>>> group::rwx
> >>>> mask::rwx
> >>>> other::---
> >>>> default:user::rwx
> >>>> default:group::rwx
> >>>> default:mask::rwx
> >>>> default:other::---
> >>>>
> >>>>
> >>>>
> >>>> ###################
> >>>> # Configuration d'un client
: #
> >>>> ###################
> >>>> [jtremesay@hawk ~]$ cat
/etc/idmapd.conf
> >>>> [General]
> >>>> Verbosity = 9
> >>>> Pipefs-Directory =
/var/lib/nfs/rpc_pipefs
> >>>> Domain = menta.fr
> >>>>
> >>>> [Mapping]
> >>>> Nobody-User = nobody
> >>>> Nobody-Group = nobody
> >>>>
> >>>> [Translation]
> >>>> Method = nsswitch
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$ mount |
grep whale
> >>>> whale:/ on /mnt/whale type
nfs
> >>>>
(rw,vers=4,addr=192.168.10.150,clientaddr=192.168.10.121)
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$ nfsstat
-m
> >>>> /mnt/whale from whale:/
> >>>> Flags:
> >>>>
rw,relatime,vers=4,rsize=32768,wsize=32768,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.10.121,minorversion=0,local_lock=none,addr=192.168.10.150
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$ ll
/mnt/whale/
> >>>> total 134
> >>>> drwxr-xr-x. 19 root root
1024 Jul 29 10:16 .
> >>>> drwxr-xr-x. 5 root root 4096
Jul 29 10:46 ..
> >>>> drwxrwxrwx. 12 root shared
4096 Jul 17 15:00 shared
> >>>> drwxrwx---. 2 root root 4096
Jul 22 15:44 test
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$
nfs4_getfacl /mnt/whale/test/
> >>>> A::OWNER@:rwaDxtTcCy
> >>>>
A::jtremesay@menta.fr:rwaDxtcy
> >>>> A::GROUP@:rwaDxtcy
> >>>> A::EVERYONE@:tcy
> >>>> A:fdi:OWNER@:rwaDxtTcCy
> >>>> A:fdi:GROUP@:rwaDxtcy
> >>>> A:fdi:EVERYONE@:tcy
> >>>>
> >>>>
> >>>> [jtremesay@hawk ~]$ ll
/mnt/whale/test/
> >>>> ls: cannot open directory
/mnt/whale/test/: Permission denied
> >>>>
> >>>>
> >>>> Lorsque que j'utilise la
même configuration (mêmes réglages
> >>>> d'idmapd.conf,
> >>>> mêmes exports, mêmes ACL)
depuis un serveur sous Scientific Linux, ça
> >>>> fonctionne : seul moi et
root peuvent accéder au dossier "test".
> >>>> Donc à priori le problème
viendrait du QNAP mais je vois pas trop ce que
> >>>> j'ai pu oublier de modifier
ou vérifier.
> >>>>
> >>>> Si quelqu'un a une idée...
Merci d'avance
> >>>>
> >>>>
> >>>> Cordialement,
> >>>> Jonathan Tremesaygues
> >>>>
_______________________________________________
> >>>> Liste de diffusion du FRsAG
> >>>>
http://www.frsag.org/
> >>>
> >>>
> >>>
> >>> --
> >>> MILOT Jean
> >>> Tél. : 0659514624
> >>>
milot.jean@gmail.com
> >>>
> >>>
> >>
_______________________________________________
> >> Liste de diffusion du FRsAG
> >>
http://www.frsag.org/
> >>
>
>
_______________________________________________
> Liste de diffusion du FRsAG
>
http://www.frsag.org/